No external user with permanent role assignment on Control Plane
Varför detta är viktigt
Externa användare med högprivilegierade rolltilldelningar på kontrollplanet utgör en betydande säkerhetsrisk. Dessa konton omfattas kanske inte av samma villkorliga åtkomstprinciper (Conditional Access), livscykelarbetsflöden (Lifecycle Workflows) eller identitetsskyddskontroller (Identity Protection) som interna användare, vilket gör dem till en potentiell vektor för obehörig åtkomst eller behörighetseskalering. Genom att regelbundet granska och ta bort permanenta högprivilegierade roller för externa användare hjälper du till att upprätthålla en säkerhetsarkitektur med lägsta möjliga behörighet.
Vad Aether365 kontrollerar
Denna kontroll verifierar att ingen extern användare har tilldelats en högprivilegierad roll på kontrollplanet i din Microsoft 365-klientorganisation. Resultatet visas i din Aether365-instrumentpanel under tjänstkategorin microsoft-365.
Så här åtgärdar du
- Logga in i Microsoft Entra admin center.
- Navigera till Identity > Roles & admins > Roles & administrators.
- Identifiera eventuella externa användare (användarhuvudnamn från en domän utanför din primära klientorganisation) med högprivilegierade roller (t.ex. Global Administrator, Privileged Role Administrator).
- För varje extern användare granskar du affärsmotiveringen för rolltilldelningen. Överväg om rollen fortfarande behövs och om användaren uppfyller din organisations säkerhetskrav för villkorlig åtkomst (Conditional Access), livscykelarbetsflöden (Lifecycle Workflows) och identitetsskydd (Identity Protection).
- Om rollen inte längre behövs, välj rollen, sedan den externa användaren och välj Remove assignment.
- För löpande hantering konfigurerar du åtkomstgranskningar i Microsoft Entra (Identity Governance > Access reviews) för att regelbundet granska externa användares rolltilldelningar.
Regelefterlevnad
- Ramverk: Annat
- Referenser: Ej tillämpligt